Locky - La solution pour s'en protéger

http://korben.info/locky-solution-sen-proteger.html
Mon article sur Locky vous a beaucoup plus et j’en suis ravi. La bonne nouvelle, c’est qu’il est possible de s’en protéger avec pas moins de 5 parades que la société Lexsi a pris le temps de décrire ici. La plus rapide étant de passer tout son OS en Russe pour le vacciner, je vais…

Merci pour cette astuce très simple. J’ai trouvé plusieurs victimes de Locky ce mois-ci et toutes par e-mail. Cette saloperie est dévastatrice et les antivirus le bloque trop tard. Il a le temps de bouffer quelques fichiers avant d’être stoppé par les antivirus. Heureusement, ceux qui ont fait des sauvegardes s’en sorte avec les fesses propres, mais j’en connais qui sont dans le caca jusqu’au cou !

Vous connaissez le site du CERT ? C’est genre la branche SI de l’état :slight_smile:
http://www.cert.ssi.gouv.fr/

Hello, vous sauriez comment créer cette clé de registre (jusque là OK) ET ses autorisations via une GPO ? Merci !

Merci beaucoup pour ce lien très intéressant. Comme beaucoup de monde, je suis “en plein dedans” actuellement …
L’ astuce de la création de la clef HKCU\Software\Locky avec des ACL interdisant toute modif pour le compte de l’utilisateur peut etre mise en place facilement par script et GPO.
Malheureusement, il y a beaucoup d’argent en jeu … et les personnes à l’origine de ce spyware vont probablement corriger rapidement leur code. :frowning:
C’est l’éternel course entre le gendarme et le voleur … le voleur ayant toujours un coup d’avance !

Merci pour l’astuce, je m’en vais de ce pas la mettre en place sur mes 15000 comptes utilisateurs !

salut tout le monde
interessant cet article, manifestement il est possible de décrypter les fichiers alors ?
ou bien alors je n’ai rien compris à l’article en lien :grin:

Comme @Guigui je sais créer une clef de registre par GPO mais les ACL je ne sais pas contrairement à toi semble-t-il.
Tu pourrais nous éclairer? Tu les gères comment?

Merci pour ce tips, très simple à mettre en place qui plus est :).

Ca me rappelle la vieille époque où pour bloquer certaine crasse on créait des fichiers verrouillés pour empêcher à un Malware de s’installer :smiley:

Non, aucun moyen de décrypter malheureusement, juste des méthodes pour se protéger avant l’infection.

@Guigui @seb

Au plus rapide et plus simple, GPO via un .bat à l’ouverture de session et l’outil regini

Plus d’infos sur l’outil : http://ss64.com/nt/regini.html

Contenu de mon .bat

\chemin_de_regini\regini \chemin_de_mon_reg\locky.reg

Contenu de mon .reg

HKEY_CURRENT_USER\Software\Locky [8]

Ainsi personne poura atteindre la clef, même un admin

Bonjour,
je suis nouveau,en m’intéressant a cet article sur Locky j’ai voulu m’en vacciné ,même si je n’ouvre aucun e-mail dont je n’en connait pas la provenance exacte et encore moins de pièce jointe !J’ai décidé d’appliquer l’astuce qui consiste a crée une clé de registre et d’en interdire l’accès !
J’ai partagé l’astuce,et voici la réponse;
"Salut,

Cette astuce ne fonctionne pas => https://twitter.com/malekal_morte/status/712915338082574336

et de toute façon, c’est pas le bon angle d’attaque, si elle commence à être utilisée massivement, ils mettront à jour Locky pour que ça ne fonctionne plus
.

La parade serait déjà de pas ouvrir un e-mail sans en connaitre l’exacte provenance et de pas double cliquer ,d’éviter d’ouvrir les pièces jointes fournit souvent compresser.

Sinon , en plus de désactiver Windows Script Host, vous pouvez néanmoins changer l’association de fichiers pour faire pointer l’extension .js vers le bloc-note par exemple, ainsi, si un utilisateur double-clic sur un .js, il sera simplement ouvert sur le bloc-note.
Cela semble sur le papier pas trop mal mais dans les faits ?Bon pas bon?
Bon week end a tous et toutes

1 J'aime

hello,

J’allais mettre le même commentaire que toi, donc effectivement je serais de ton avis. Mais surtout ne pas oublier de désactiver l’exécution des macros Word.

Touché et +800 000 fichiers infectés. …
pas facile de ne pas ouvrir des attachements quand c’est le job de recevoir des courriels du public avec doc… bon nos backups étaient isolés et 1/2j de perdue.
Pour info ni malware byte ni adwcleanner après de détectent quoi que ce soit, MS antimalware OUI et le supprime ainsi que Defender. Nos 2 postes (win7pro et 10 pro) avec Symantec à jour n’ont rien vu venir.
Sur 2 postes par où le vers est entré, j’ai enlevé les xxx.locky (del locky.* /s) et Microsoft a éliminé les trojans laissés, je dois re installer les pack office. Sur les serveurs clean re install des backup.
A vos neurones svp : J’ai installé cryptoprevent sur les postes “d’accueil” des courriels … changé le .js vers PAINT si vous avez des idées et remarques je suis preneur.

Salut,
Merci pour ton article :slight_smile:
Un truc m’interpelle : j’ai déjà une clé de registre “Locky”, mais jamais eu de soucis.
Du genre parano, j’ai jamais ouvert une pièce jointe de courriel, et de toutes façons avec Gmail j’ai toujours eu les notifications de pièce-jointe pourrie.
J’ai donc changé les autorisations à l’instant, c’était tout en “Autorisé”.
A noter, j’ai installé BitDefender Antiransomware il y a quelques mois.
Vous en pensez quoi ?
Nikos